LG유플러스가 IMSI(가입자식별번호)에 전화번호를 반영하는 방식으로 보안 취약점이 확인되었습니다.
4월 13일부터 전체 가입자 대상 유심 교체가 진행되며, 교체 비용은 무료입니다.
실제 피해는 보고되지 않았으나, 잠재적 위험 제거를 위한 선제적 교체가 권장됩니다.
목차
- LG유플러스 유심을 교체해야 하는 이유
- IMSI란 무엇이고, 왜 문제가 되나?
- 왜 이런 방식이 유지됐나?
- 유심 교체 일정과 방법
- 내 개인정보가 실제로 유출됐을까?
- 자주 묻는 질문 (FAQ)
LG유플러스 유심을 교체해야 하는 이유
2026년 3월, LG유플러스(LGU+)에서 스마트폰 보안과 관련된 중요한 사실이 확인되었습니다. 바로 IMSI(가입자식별번호, International Mobile Subscriber Identity)를 생성할 때 실제 전화번호를 반영하는 방식을 사용해 왔다는 점입니다.
이 문제는 외부에서 특정 장비를 활용하면 가입자를 식별하거나 위치를 추적하는 데 악용될 수 있는 여지를 남겨 두고 있습니다. SK텔레콤이나 KT는 난수 기반으로 IMSI를 생성해 외부 특정이 어렵지만, LGU+는 2G 시대 규격을 LTE까지 그대로 유지해 온 것이 원인으로 지목되었습니다.
배경훈 과학기술정보통신부 장관은 이 문제에 대해 “법률 위반은 아니지만 보안 수준이 낮은 것은 사실”이라고 인정했습니다. LGU+ 측은 이에 대응해 4월 13일부터 전체 가입자를 대상으로 유심(USIM) 교체를 시작한다고 밝혔습니다.
IMSI란 무엇이고, 왜 문제가 되나?
IMSI는 스마트폰에 들어있는 유심(USIM) 칩 안에 저장된 고유 번호입니다. 통신망에 접속할 때 가입자를 식별하는 역할을 하며, 15자리 숫자로 구성됩니다.
일반적으로 IMSI는 외부에 노출되지 않도록 난수(랜덤한 숫자)로 생성합니다. 하지만 LGU+는 IMSI 생성 과정에서 실제 전화번호를 그대로 반영하는 방식을 사용해 왔습니다. 이 경우, 외부에서 신호를 포착하면 어떤 가입자인지 특정할 수 있는 가능성이 생깁니다.
통신사별 IMSI 생성 방식 비교
| 통신사 | IMSI 생성 방식 | 외부 가입자 특정 가능성 |
|---|---|---|
| LG유플러스 | 전화번호 반영 | 상대적으로 높음 |
| SK텔레콤 | 난수 기반 | 낮음 |
| KT | 난수 기반 | 낮음 |
다만 당국은 실제 악용을 위해서는 IMSI 캐처(IMSI Catcher)라는 특수 장비가 필요하기 때문에, 일반인이 쉽게 2차 피해를 입을 가능성은 낮다는 입장을 유지하고 있습니다. 그럼에도 잠재적인 위험 요소를 제거하기 위한 선제적 조치로 유심 교체를 결정했습니다.
왜 이런 방식이 유지됐나? 배경 설명
LGU+가 전화번호 기반 IMSI 방식을 유지해 온 것은 기술적인 이유가 큽니다. 2G 시절에는 이 방식이 일반적이었고, 당시 표준 규격이 그대로 적용되었습니다. 이후 LTE 시대로 넘어가면서 SKT와 KT는 난수 기반 방식으로 전환했지만, LGU+는 기존 방식을 그대로 유지했습니다.
법적으로는 위반이 아닙니다. 현행 전기통신사업법에는 IMSI 생성 방식에 대한 구체적인 기준이 없습니다. 하지만 보안 전문가들은 IMSI가 외부에 노출될 수 있는 구조 자체가 개인정보 보호 측면에서 미흡하다고 지적해 왔습니다.
이번 유심 교체 조치는 과기정통부의 권고에 따른 것으로, LGU+ 가입자 전체가 대상입니다.
유심 교체 일정과 방법
LGU+는 4월 13일(월)부터 전체 가입자 대상 유심 교체를 시작합니다. 구체적인 방법은 아래와 같습니다.
유심 교체 방법
- LGU+ 공식 대리점 또는 판매점 방문
- LGU+ 고객센터(101) 문의 후 택배 교체 신청
- 유심 교체 비용: 무료 (LGU+ 부담)
- 교체 후 기존 전화번호·요금제·설정은 유지됨
교체 시 필요한 준비물
- 본인 신분증 (주민등록증, 운전면허증, 여권 중 하나)
- 기존 사용 중인 스마트폰
- 개통 당시 명의자 본인 방문 원칙
교체 후에도 기존 데이터는 삭제되지 않으며, 연락처나 앱 설정도 유지됩니다. 다만 일부 기기에서는 초기 설정이 필요한 경우가 있으므로, 교체 전 중요한 데이터는 백업해 두는 것이 좋습니다.
내 개인정보가 실제로 유출됐을까?
이번 사안에서 가장 궁금한 점은 “이미 피해가 발생했는가”입니다. 과기정통부와 LGU+는 현재까지 실제 가입자 피해가 접수된 사례는 없다고 밝히고 있습니다.
IMSI 캐처는 고가의 전문 장비로, 일반인이 쉽게 구할 수 없습니다. 또한 신호 범위가 제한적이어서 가까운 거리에서만 작동하고, 특정인을 대상으로 한 정교한 공격에서 주로 사용됩니다. 불특정 다수가 무차별적으로 피해를 입는 유형의 해킹과는 다릅니다.
그러나 잠재적 위험이 확인된 이상, 유심 교체를 통해 새로운 IMSI를 발급받는 것이 가장 확실한 예방 방법입니다. 당국도 적극적인 교체를 권장하고 있습니다.
유심 교체 후 주의사항
유심 교체 과정을 악용한 2차 사기에 주의해야 합니다. 교체 기간 중 다음과 같은 피싱 수법이 증가할 수 있습니다.
- “유심 교체 확인 필요”라며 링크를 보내는 문자 메시지
- “무료 교체를 위해 개인정보 입력”을 유도하는 전화
- 가짜 LGU+ 사이트로 접속을 유도하는 QR코드
LGU+ 공식 채널(고객센터 101, 공식 홈페이지, 공식 앱)을 통해서만 교체 일정을 확인하고, 출처 불명의 링크나 전화에 개인정보를 입력하지 마세요.
자주 묻는 질문 (FAQ)
Q. LGU+ 가입자 모두 교체해야 하나요?
A. 네. LGU+ 측은 전체 가입자 대상으로 유심 교체를 진행한다고 밝혔습니다. 4월 13일부터 순차적으로 진행되며, 교체 비용은 무료입니다.
Q. 교체하지 않으면 어떻게 되나요?
A. 당장 서비스에 문제가 생기지는 않습니다. 하지만 보안 취약점이 남아 있는 상태이므로, 가능한 빨리 교체하는 것을 권장합니다.
Q. SKT, KT 가입자도 영향을 받나요?
A. 아닙니다. SKT와 KT는 이미 난수 기반 IMSI를 사용하고 있어 이번 문제와 관련이 없습니다.
Q. 유심 교체 후 기존 데이터가 삭제되나요?
A. 유심 교체는 통신 칩만 교체하는 것입니다. 스마트폰 내부 저장 데이터(연락처, 사진, 앱 등)는 삭제되지 않습니다. 다만 만약의 상황에 대비해 교체 전 백업을 권장합니다.
Q. 위치추적 피해를 입었다고 의심된다면 어떻게 하나요?
A. 한국인터넷진흥원(KISA) 사이버 민원센터(118) 또는 경찰청 사이버수사대에 신고하세요. 이상한 징후가 없더라도 유심 교체 후 문제가 해결됩니다.
보안·안전 카테고리의 다른 글
앱 위치정보 수집 불법 사례 4가지 유형 총정리 – 위치정보법 위반 사례집 2026
방통위·KISA가 발간한 위치정보법 위반 사례집 핵심 정리. 앱 위치정보 수집 시 자주 위반되는 4가지 유형과 소비자·사업자 대응법을 알기 쉽게 설명합니다.
기업뱅킹 전자금융 소프트웨어 취약점 – 스마트폰 모바일뱅킹 보안 점검 방법 핵심 포인트 4가지, 2026년 최신 정리
KISA WGear 전자금융 소프트웨어 취약점 공지를 바탕으로 모바일뱅킹 이용자가 확인할 업데이트·삭제·신고 기준을 정리했습니다.
발신번호 거짓표시·변작 신고 방법 완전 정리 2026 – KISA 보호나라로 보이스피싱 전화 신고하기
핵심 요약 보이스피싱·스팸에 이용된 발신번호는 KISA 보호나라(boho.or.kr)에 무료로 신고할 수 있습니다. 신고 후 KISA가 번호 변작 여부를 기술적으로 분석하고, 확인되면…
휴대폰 전자파 오해 5가지, 2026년 KCA 공지로 다시 보는 SAR 기준
KCA 전자파 안전 홍보단 공지와 국립전파연구원 SAR 안내를 바탕으로 휴대폰 전자파에 대한 대표 오해 5가지를 쉽게 정리했습니다.
IP카메라 보안 가이드 2026, 스마트폰 앱 연동 전에 꼭 점검할 설정 6가지
KISA 공식 IP카메라 설치·운영 보안 가이드를 바탕으로 스마트폰 앱 연동 전에 꼭 확인할 비밀번호, 펌웨어, 원격접속 설정 6가지를 정리했습니다.